用户层注入:(1)远程线程注入

最新推荐文章于 2024-08-23 00:15:00 发布
最新推荐文章于 2024-08-23 00:15:00 发布
阅读量195 收藏 1
点赞数
分类专栏: 注入 文章标签: c++ windows 安全 依赖注入 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43972499/article/details/114640087
版权

目录

一、主要思想

  我们知道,进程在加载时,会查看PE文件的导入表,并根据导入表的内容将指定的Dll模块加载到进程地址空间内,因此我们可以使用诸如Kernel32.dll和User32.dll这些动态库的导出函数。
  这些工作在exe文件加载时Windows系统便自动帮我们完成了。那么我们是否可以提出这样一个猜想:我们能否自己写一个Dll文件,然后通过一种方式,让目标进程将我们的Dll文件加载到自己的进程空间内,从而实现我们想要的操作呢?
  那么问题来了,怎样获得操作目标进程的权限呢?获得权限后,怎样让目标进程执行我们的Dll文件呢?目标进程又是如何执行的呢?
  当然,这些问题都是可以解决的。

二、注入过程

  1.通过进程名,使用ToolHelper系列的函数,将系统的所有进程信息进行枚举,通过对进程名的匹配,定位到目标进程的关键信息,从而获得进程ID。
  2.要打开目标进程,就要提高当前自身进程的权限(主要是对Token令牌的操作)。提升权限后,通过进程ID调用OpenProcess函数,获得目标进程的句柄。OpenProcess函数中,有一个重要的参数DesiredAccess,除了传入PROCESS_READ和PROCESS_WRITE等参数,还需要传入PROCESS_CREATE_THREAD,原因下面会提到。
  3.在打开目标进程后,我们就获得了目标进程的一些操作权。这时我们可以调用VirtualAllocEx在目标进程中申请一片内存,用来存放我们的Dll文件路径,因为我们后续需要调用LoadLibrary函数去加载这个Dll。
  4.将动态库的路径写入到目标进程后,我们需要一个线程去执行LoadLibrary这个函数,这时就要用到本文最重要的一个函数CreateRemoteThread,这个函数可以在目标进程中创建一个远程线程,并执行我们想要的操作,这也是上文提到我们为什么要传入一个PROCESS_CREATE_THREAD参数,它表示我们希望在目标进程中执行创建线程的操作。至此,我们的Dll文件就成功地装载到了目标进程的地址空间内。至于Dll文件如何操作,那就是我们自己的事情了。

三、主要函数

1. HANDLE WINAPI CreateToolhelp32Snapshot(
    DWORD dwFlags,       //此处为TH32CS_SNAPPROCESS,表示枚举进程
    DWORD th32ProcessID  //此处为0,表示枚举所有进程
    );

2. LPVOID WINAPI VirtualAllocEx(
    _In_ HANDLE hProcess,        	//目标进程句柄
    _In_opt_ LPVOID lpAddress,		//起始地址
    _In_ SIZE_T dwSize,				//内存大小
    _In_ DWORD flAllocationType,	//内存类型
    _In_ DWORD flProtect		    //内存页属性
    );

3. BOOL WINAPI WriteProcessMemory(
    _In_ HANDLE hProcess,				      //进程句柄
    _In_ LPVOID lpBaseAddress,			    //VirtualAllocEx返回地址
    _In_reads_bytes_(nSize) LPCVOID lpBuffer, //写入数据的缓冲区地址
    _In_ SIZE_T nSize,					      //写入数据大小
    _Out_opt_ SIZE_T* lpNumberOfBytesWritten  //ReturnLength
    );

4. HANDLE WINAPI CreateRemoteThread(
    _In_ HANDLE hProcess,          					   //进程句柄
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes, //安全描述符
    _In_ SIZE_T dwStackSize,	    				   //线程栈大小
    _In_ LPTHREAD_START_ROUTINE lpStartAddress,        //线程函数地址
    _In_opt_ LPVOID lpParameter,					   //线程函数参数
    _In_ DWORD dwCreationFlags,		                   //是否挂起
    _Out_opt_ LPDWORD lpThreadId
    );

四、参考代码

#include<Windows.h>
#include <iostream>
#include<tchar.h>
using namespace std;
BOOL __EnableDebugPrivilege = TRUE;

void _tmain()
{
	_tprintf(_T("Input Process ImageName\r\n"));
	
	int i = 0;
	TCHAR v1 = _gettchar();
	HANDLE  ProcessHandle = NULL;
	HANDLE  ProcessIdentify = NULL;
	TCHAR   ProcessImageName[260] = { 0 };
	//获得用户输入的进程名
	while (v1 != '\n')
	{
		ProcessImageName[i++] = v1;
		v1 = _gettchar();
	}
	
	//通过进程ProcessImageName获得进程ID
	if (SeGetProcessIdentify(&ProcessIdentify, sizeof(HANDLE),ProcessImageName, sizeof(ProcessImageName)) == FALSE)
	{
		goto Exit;
	}

	BOOL IsOk = TRUE;
	ULONG DllFullPathLength = 0;
	LPVOID VirtualAddress = NULL;
	SIZE_T ReturnLength = 0;

	//获取DLL完整路径
	GetCurrentDirectory(MAX_PATH, DllFullPath);
	_tcscat_s(DllFullPath, _T("\\Dll.dll"));

    //打开目标进程
	ProcessHandle = SeOpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessIdentify);
				
    //根据在目标进程句柄在目标进程空间中申请内存
	DllFullPathLength = (_tcslen(DllFullPath) + 1) * sizeof(TCHAR);
	VirtualAddress = VirtualAllocEx(ProcessHandle, NULL, DllFullPathLength, MEM_COMMIT, PAGE_READWRITE);
	if (VirtualAddress == NULL)
	{
		goto Exit;
	}
	//在目标进程空间申请的内存中写入动态库的完整路径
	if (WriteProcessMemory(ProcessHandle, VirtualAddress , DllFullPath, DllFullPathLength, NULL) == FALSE)
    {
	    goto Exit;
	}
	//让目标进程执行一个线程去执行LoadLibrary(DllFullPath)
	HANDLE ThreadHandle = CreateRemoteThread(ProcessHandle,NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibrary, VirtualAddress, 0, NULL);
	if (ThreadHandle == NULL)
	{
	    //释放掉曾经申请的DllFullPath所占有的内存
		VirtualFreeEx(ProcessHandle, VirtualAddress, DllFullPathLength, MEM_RELEASE);
		goto Exit;
	}
	WaitForSingleObject(ThreadHandle, INFINITE);
	if (VirtualAddress != NULL)
	{
		VirtualFreeEx(ProcessHandle, VirtualAddress, DllFullPathLength, MEM_RELEASE);
	}
}
Exit:
	if (ProcessHandle != NULL)
	{
		SeCloseHandle(ProcessHandle);
		ProcessHandle = INVALID_HANDLE_VALUE;
	}
}

//通过进程名获得目标进程ID
BOOL SeGetProcessIdentify(_Out_ HANDLE* ProcessIdentify, _In_ ULONG_PTR ProcessIdentifyLength,
	_In_ const TCHAR* ProcessImageName, _In_ ULONG_PTR ProcessImageNameLength)
{
	BOOL IsOk = FALSE;
	HANDLE SnapshotHandle = INVALID_HANDLE_VALUE;
	PROCESSENTRY32 ProcessEntry32;
	ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
	//快照
	SnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (SnapshotHandle == INVALID_HANDLE_VALUE)
	{
		goto Exit;
	}
	if (!Process32First(SnapshotHandle, &ProcessEntry32))
	{
		goto Exit;
	}
	do
	{
		//进程名匹配
		if (_tcsicmp(ProcessEntry32.szExeFile, ProcessImageName) == 0)
		{
			//获得目标进程ID
			*ProcessIdentify = (HANDLE)ProcessEntry32.th32ProcessID;
			IsOk = TRUE;
			goto Exit;
		}

	} while (Process32Next(SnapshotHandle, &ProcessEntry32));  //继续枚举
	LastError = ERROR_MOD_NOT_FOUND;
Exit:
	if (SnapshotHandle != INVALID_HANDLE_VALUE)
	{
		CloseHandle(SnapshotHandle);
	}
	SnapshotHandle = INVALID_HANDLE_VALUE;
	return IsOk;
}

//打开目标进程
HANDLE SeOpenProcess(DWORD DesiredAccess, BOOL IsInheritHandle, HANDLE ProcessIdentify)
{
	//提高当前进程Privilege
	if (__EnableDebugPrivilege)
	{
		SeEnableSeDebugPrivilege(_T("SeDebugPrivilege"), TRUE);
	}
	//打开目标进程,通过进程ID获得目标进程句柄
	HANDLE ProcessHandle = OpenProcess(DesiredAccess, IsInheritHandle, (DWORD)ProcessIdentify);
	if (__EnableDebugPrivilege)
	{
		SeEnableSeDebugPrivilege(_T("SeDebugPrivilege"), FALSE);
	}
	return ProcessHandle;
}

//提高当前进程权限
BOOL SeEnableSeDebugPrivilege(const TCHAR*  PriviledgeName, BOOL IsEnable)
{
	BOOL IsOk = FALSE;
	HANDLE  ProcessHandle = GetCurrentProcess();     //获取当前进程句柄(伪句柄)-1
	HANDLE  TokenHandle = INVALID_HANDLE_VALUE;
	TOKEN_PRIVILEGES TokenPrivileges = { 0 };

	//通过当前进程句柄获得当前进程中令牌句柄
	if (!OpenProcessToken(ProcessHandle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))
	{
		goto Exit;
	}

	//通过LookupPrivilegeValue函数查找PriviledgeName对应的身份码ID并传递给v1
	LUID  v1;
	if (!LookupPrivilegeValue(NULL, PriviledgeName, &v1))	
	{
		goto Exit;
	}

	TokenPrivileges.PrivilegeCount = 1;		// 要提升的权限个数
	TokenPrivileges.Privileges[0].Attributes = IsEnable == TRUE ? SE_PRIVILEGE_ENABLED : 0;
	TokenPrivileges.Privileges[0].Luid = v1;

	if (!AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
	{
		goto Exit;
	}
	IsOk = TRUE;

Exit:
	if (TokenHandle != INVALID_HANDLE_VALUE)
	{
		CloseHandle(TokenHandle);
		TokenHandle = INVALID_HANDLE_VALUE;
	}         
	return IsOk;
}

五、注入结果

在这里插入图片描述

折翊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程线程注入_远程_远程线程_dll注入_注入_
10-01
远程线程注入是一种在计算机编程中常见的技术,主要用于在另一个进程中执行代码,通常是用来实现调试、监控、自动化或恶意软件的功能。在这个场景中,我们关注的是"远程线程注入"和"DLL注入"这两个概念。 远程线程...
Win32API之实现远程线程注入(九)
xf555er的博客
04-16 656
远程线程注入是一种技术,可以将一个动态链接库(DLL)注入到另一个进程的地址空间中,并在该进程中创建一个远程线程来执行该 DLL 中的代码。这种技术通常用于恶意软件攻击,也可以用于调试和监视进程。远程线程注入涉及到许多操作系统的概念,包括内存映射、线程创建、函数调用等等。为了成功进行远程线程注入,攻击者需要克服许多障碍,例如安全软件、权限限制、代码签名等等。
远程线程注入
qq_41232519的博客
10-26 780
文章目录一、流程二、演示三、完整代码 DLL程序: 一、流程 1、获取进程句柄 2、计算Dll路径名长度,并且要加上0结尾的长度 3、在目标进程分配内存 4、拷贝DLL路径名到目标进程的内存 5、获取模块地址 6、获取LoadLibraryA函数地址 7、创建远程线程,加载DLL 8、关闭句柄 二、演示 1、获取进程句柄 //获取进程句柄 hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessID); if(hProcess == NUL
远程线程注入引出的问题
weixin_33713707的博客
08-30 561
远程线程注入引出的问题   一、远程线程注入基本原理 远程线程注入——相信对Windows编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者...
MySql注入的基本了解
xf555er的博客
08-26 336
描述mysql的基本注入攻击, 给大家带来各种详细的攻击手段以及mysql语句的原理
使用远程线程注入DLL
08-04
远程线程注入是一种技术,主要用于在另一个进程的上下文中执行代码。这种技术在软件开发、调试、自动化测试以及恶意软件中都有应用。本篇将详细解释远程线程注入的概念、工作原理,以及如何通过代码实现。 远程线程...
InjectDLL代码 实现远程注入线程.zip
03-28
1. "Explorer":这可能是一个示例程序,用于演示远程线程注入技术。Explorer可能是选择的目标进程,因为它是Windows操作系统的默认文件管理器,具有广泛的应用。 2. "InjectDLL代码 实现远程注入线程.txt":这是一...
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
易语言远程线程注入类模块
08-16
1. 远程线程注入远程线程注入Windows API中的一种技术,它允许一个进程(注入者)在另一个已存在的进程(被注入者)中创建一个新的线程,并在这个新线程中执行指定的代码。这种技术常用于动态加载DLL(动态...
SQL注入——通过注入得到已知用户名的密码
热门推荐
以梦为马,不负韶华
12-08 2万+
· PHP代码如下: <?php //error_reporting(0); $link =mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQL: ' .mysqli_connect_error()); } $link->se
利用远程线程直接注入
yun0315的专栏
05-30 869
<br />注入代码到其他进程地址空间的方法是使用WriteProcessMemory API。这次你不用编写一个独立的DLL而是直接复制你的代码到远程进程。<br /> 让我们看一下CreateRemoteThread的声明和CreateThread相比,有以下不同:<br />●增加了hProcess参数。这是要在其中创建线程的进程的句柄。<br />●CreateRemoteThread的lpStartAddress参数必须指向远程进程的地址空间中的函数。这个函数必须存在于远程进程中,所以我们不能简单
SQL注入获取用户名密码练习(integer型注入
nielilijy的专栏
08-07 1万+
万能密码 ' or 1='1 select name,pass from tbAdmin where name=‘admin’ and pass=‘123456’ select name,pass from tbAdmin where name=’’ or 1=‘1’ and pass=‘123456’ 1=‘1’ 永远为真 这个也是OWASP放出来的一个web安全学习平台,PHP+M...
用户登录页面--SQL注入
李书明(石家庄)的专栏
01-23 1万+
web网站攻击方式多种多样,sql注入是经常使用的攻击方向。攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 动态拼接的SQL指令最易受攻击。 如登录时使用的SQL指令: $query = 'SELECT * from Users WHERE login = ' ...
Spring自定参数解析器之《自动注入已登录用户
一切都是最好的安排
03-05 2625
前言 Spring项目的企业开发中,在Controller的某一个方法中获取当前登录人的信息是一个非常常见的需求,比如你可以根据当前登录人信息判断是否有操作权限、记录操作日志等等,但是如何更好、更简单的获取到该信息?今天就教大家一个使用自定参数解析器来完成的获取登录人的方法。 期望 我们以查看当前登录人画像信息为例,看看我们所期望的获取方式。 画像接口定义: package com...
Windows用户模式下注入方式总结
Vh0543的博客
04-09 178
注入技术在病毒木马、游戏、打补丁等编程中应用很广泛,学习该技术不仅能帮助理解Windows工作原理,还能对病毒木马技术手段有更加深刻的理解,下面我们了解下各种注入方式吧。 一.DLL注入   在注入技术中,DLL注入是最常见最有效的技术。作者通常把代码编写成一个动态链接库,然后把这个动态链接库加载到正常进程中去,因为任何一个进程在加载动态链接库时都要执行DLL文件里入口函数Dl...
windows C++-windows C++/CX简介(六)
最新发布
苏洛的博客
08-23 711
windows C++/CX介绍
C++】链表
qq_38801607的博客
08-22 1085
链表是一种常见的动态数据结构,与数组相比,它在插入和删除操作中具有更高的效率。链表的每个元素称为节点(Node),节点包含两个部分:数据域(存储数据)和指针域(指向下一个节点的指针)。链表的最大特点是节点的内存位置不需要连续,可以通过指针来链接在一起。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值